Semuanya mengatakan Applocker seharusnya bekerja: Mengapa tidak?

10

Saya telah menyiapkan kebijakan grup dasar yang terdiri dari aturan Applocker default. Per artikel teknis Microsoft tentang hal ini, file apa pun yang tidak diizinkan untuk dijalankan oleh kebijakan seharusnya diblokir agar tidak berjalan. Setelah menerapkan kebijakan ini dan memverifikasi itu diterapkan untuk pengguna yang benar menggunakan gpresult, saya masih dapat mengunduh dan menjalankan exe dari internet, sebuah exe yang disimpan ke folder temp profil pengguna. Pada saat itulah saya melakukan lebih banyak googling, dan melihat bahwa layanan App Identity harus berjalan, dan ternyata tidak: Jadi, seperti admin yang baik, saya memulainya, mengaturnya menjadi otomatis, dan mem-boot ulang untuk berjaga-jaga. Kebijakan masih tidak berfungsi setelah memulai kembali. Di bawah ini adalah tangkapan layar dari kebijakan saat ini.

masukkan deskripsi gambar di sini

Saya menambahkan aturan tolak secara eksplisit karena aturan default tidak berfungsi. Saya menerapkan kebijakan dengan benar ke mesin dan memverifikasi bahwa aturan tersebut ditegakkan (dikatakan demikian dalam tangkapan layar). Saya menggunakan Test-AppLockerPolicycmdlet untuk memverifikasi bahwa aturannya adalah harus memblokir EXEs dan MSI dari berjalan, tetapi tidak. Terbuka untuk sebagian besar saran, tidak peduli seberapa menggelikannya.

Memperbarui

Lupa menambahkan bahwa saya memeriksa log peristiwa untuk AppLocker selama seluruh kegagalan ini, dan itu kosong. Tidak ada satu entri pun sepanjang waktu.

windows-7 group-policy applocker MDMoore313
sumber
2
Lihat di event log di bawah Applications and Services Logs-> Microsoft-> Windows-> AppLocker. Dalam log itu Anda akan melihat pesan yang diizinkan / ditolak, dan juga "Kebijakan AppLocker berhasil diterapkan ke komputer ini.".
longneck
2
Selain itu, Anda dapat mengatur Kebijakan Grup Anda yang berisi aturan AppLocker Anda untuk juga memulai layanan Aplikasi Identitas.
longneck
@longneck Anda benar 100%: Saya lupa menambahkan bahwa saya memeriksa log itu, dan ternyata kosong! Dan ya, pada akhirnya jika kebijakan ini berfungsi dengan baik, saya akan menambahkan layanan itu untuk mulai secara otomatis melalui gpo yang sama untuk konsistensi.
MDMoore313
Ada aturan terpisah untuk "Aturan Pemasang Windows". Saya tidak tahu apakah itu relevan dengan EXE Anda, tetapi patut dilihat. Jika Anda menjatuhkan salinan EXE program yang terinstal (winword.exe, dll.) Ke dalam folder yang tidak diizinkan dalam Aturan yang Dapat Dilakukan, apakah pengguna dapat menjalankannya?
joeqwerty
1
Apakah pengguna tersebut Admin lokal? Apakah mesin Windows 7 Pro?
joeqwerty

Jawaban:

3

Jika blok path Anda tidak didefinisikan dengan benar maka itu akan menjelaskan situasi Anda.

Misalnya jika Anda menggunakan variabel% userprofile% environment. Hanya ada subset dari variabel lingkungan yang tersedia melalui GPO / AppLocker dan itu bukan salah satunya.

Saya telah sukses dengan aturan jalur berikut:

%osdrive%\users\*
Fannar Levy
sumber
Diperbantukan di sini. Saya mengalami masalah yang sama persis dengan menggunakan% userprofile% EV di mana itu tidak akan berhasil. Tetapi beralih ke% osdrive% \ users * berhasil.
Dapatkan-HomeByFiveOClock
Berganti pekerjaan, untuk beberapa alasan saya tidak melihat jawaban ini sebelum saya pergi (Juli '14), saya pasti akan mencobanya, sepertinya pelakunya.
MDMoore313
1

Ini adalah utas lama tapi saya menemukan ketika menerapkan AppLocker di jaringan kami sendiri.

AppLocker membutuhkan penggunaan layanan Identitas Aplikasi, yang diatur ke Manual pada instalasi default Win7 / Server 2008 R2. Anda harus mengatur layanan Identitas Aplikasi ke startup Otomatis atau aturan tidak akan ditegakkan. Anda bisa melakukan ini dengan objek Kebijakan Grup di mana aturan AppLocker didefinisikan.

Wes Sayeed
sumber
Sup Wes! Ya saya juga melihat itu, setel ke otomatis tanpa hasil, harap utas ini membantu Anda
MDMoore313
1
Itu :-) Ini bekerja dengan baik dengan Win7. Win10 adalah cerita lain. Bahkan tidak dapat mengubah jenis layanan startup. Akan memposting pertanyaan lain untuk itu. Saya menemukan utas Anda saat mencari bantuan dengan aplikasi AppLocker dan ClickOnce.
Wes Sayeed